DNS-over-HTTPS — как продвигается адаптация

С момента появления этот протокол вызывает разногласия в ИТ-сообществе. Одни считают, что DoH повышает безопасность подключений, другие — что он лишь усложняет работу сисадминам. Но несмотря на полярность точек зрения, DoH использует все больше приложений. Рассказываем, что к чему.

Спорная технология

DNS-over-HTTPS критикуют регуляторы, телекомы, представители интернет-регистраторов и даже сам автор системы доменных имен. Среди аргументов — усложнение администрирования и задержки в сетях доставки контента. В то же время отдельные реализации протокола игнорируют правила, описанные в /etc/nsswitch.conf. Так, управление DNS переходит с уровня операционной системы на уровень приложений, что может привести к неразберихе между сервисами.

Также есть мнение, что протокол создает угрозу утечек персональных данных. DNS-over-HTTPS шифрует информацию о посещаемых ресурсах, но она по-прежнему доступна серверу, обрабатывающему запрос. В этом контексте возникает проблема доверия к DoH-провайдеру. Это одна из причин, почему Агентство национальной безопасности США рекомендует не использовать DNS-over-HTTPS в корпоративных сетях и обратить внимание на self-hosted решения.

Небольшие подвижки

Резкие высказывания в адрес технологии, вероятно, затормозили её распространение. Сегодня «классический» DNS-трафик в три раза превышает объемы зашифрованного. Однако ситуация постепенно меняется. По данным крупных интернет-провайдеров и ИБ-компаний, за последние годы трафик DoH вырос. Это заметно в Бразилии, США, Италии, Аргентине и Испании (стр.10).

Восходящий тренд связан с активацией DNS-over-HTTPS по умолчанию в крупных браузерах. Так, в 2019-м разработчики Firefox включили новый протокол для американских пользователей, а в этом году — для юзеров из Канады. Во втором случае проект реализовали в партнерстве с DoH-провайдером CIRA. По словам представителей «огненной лисы», компания не хранит логи дольше суток, не передает данные пользователей третьим лицам и в обязательном порядке применяет технологию DNS Query Name Minimisation (RFC 7816).

Возможность работы с DNS-over-HTTPS также добавили в Chrome, Edge и Brave. Соответствующую функциональность внедряют и в прошивки роутеров — как коммерческие, так и открытые вроде OpenWRT.

Развитию технологии способствуют и энтузиасты. В сентябре инженеры из APNIC просканировали пространство адресов IPv4 в поисках открытых портов 443, протестировали их специальным скриптом и нашли более 930 DoH-резолверов, четверть из которых развёрнута на домашних серверах и, вероятно, используются в частных проектах [эти системы не имели записей зон обратного просмотра].

Другие варианты

DoH будет внедрять все больше разработчиков. Но не факт, что именно он станет «финальным» решением для шифрования DNS-запросов. Помимо DNS-over-TLS, который мы упоминали в одном из прошлых материалов, разрабатывают и другие альтернативы. Так, рабочая группа из IETF предложила open source стандарт Oblivious DNS-over-HTTPS (ODoH). Он позволяет скрыть IP пользовательских устройств с помощью прокси. В этом случае DNS-провайдер видит лишь адрес промежуточного звена. IP-адрес клиента известен прокси-серверу, но тот не может получить информацию о запросе [так как сообщение зашифровано].

Появляются решения для шифрования обращений к системе доменных имен на основе других протоколов — например, QUIC. Но говорить об их широком распространении пока рано. В частности, объемы трафика DNS-over-QUIC невероятно малы, даже по сравнению с DNS-over-HTTPS. Под вопросом и практическая реализация подобных систем, поскольку в будущем DNS-over-HTTPS получит поддержку QUIC [за счёт протокола HTTP/3].

Пока рано говорить, какая технология шифрования DNS-запросов будет внедрена. Но в любом случае, на это может потребоваться пара десятилетий.

Что еще почитать о протоколах в нашем блоге:

• Что там с внедрением IPv6 — обсуждаем цифры

• DNS over HTTPS — безопасность или сложность в работе

• P2P-протокол Dat — как работает и кем используется